News

Cập nhật phiên bản mới tiêu chuẩn ISO/IEC 27001:2022

Sep. 1 2022

Các công nghệ mới đã ra đời và ngày càng có nhiều doanh nghiệp trực tuyến và làm việc từ xa, hoạt động ảo nhiều hơn thông qua các ứng dụng đám mây. Các cuộc tấn công hoặc vi phạm càng có thể gây phiền toái và ngày càng có nhiều trường hợp, các doanh nghiệp bị ảnh hưởng nghiêm trọng, sản xuất bị cản trở hoặc ngừng hoàn toàn trong nhiều ngày và thậm chí vài tuần. 

Bảo mật thông tin năm 2022 đơn giản không giống với bảo mật thông tin năm 2013 (năm phiên bản mới nhất của ISO 27001). Điều này đòi hỏi sự cảnh giác và làm việc hiệu quả hơn hơn bao giờ hết của HTQL ANTT. Mỗi tiêu chuẩn ISO thông thường sau 5 năm cần phải xem xét cập nhật lại. ISO 27001 cũng không là ngoại lệ và Văn bản hướng dẫn của ISO 27001 (Tiêu chuẩn ISO 27002:2022 – đã thay đổi khá cơ bản về cấu trúc). Chính vì vậy ISO 27001 sẽ ra phiên bản mới vào cuối năm nay (khoảng từ tháng 10 cho tới cuối năm) 

Điều gì sẽ thay đổi: 

  • Phần chính của ISO 27001, tức là, từ 4 đến 10, không thay đổi.  

  • Chỉ các biện pháp kiểm soát an ninh thông tin được liệt kê trong ISO 27001 Phụ lục A sẽ được cập nhật – phù hợp với ISO 27002:2022 

  • Số biện pháp kiềm soát sẽ giảm từ 114 xuống 93 

  • Các biện pháp kiềm soát sẽ được soi xét theo nhiều chiều khác nhau: chia làm 3 Loại (Phòng ngừa; Phát hiện; Khắc phục); 3 Thuộc tính (CIA); 5 Khái niệm ANTT; hơn 10 Năng lực vận hành; 4 Miền an ninh và được đặt trong 4 chủ đề (themes) thay vì 14 chủ đề trước đó. 

  • Không có biện pháp kiềm soát nào bị xóa và nhiều biện pháp đã được hợp nhất lại. 

  1. Có 11 biện pháp kiềm soát mới trong Annex A:  

  2. Sáng suốt khi bị đe dọa / Threat intelligence 

  3. ANTT đề sử dụng dịch vụ đám mây/ Information security for the use of cloud services 

  4. Công nghệ thông tin truyền thông phục vụ cho KD liên tục ICT readiness for BC 

  5. Theo dõi an ninh vật lý / Physical security monitoring 

  6. Quản lý cấu hình / Configuration management 

  7. Hủy bỏ thông tin / Information deletion 

  8. Đắp mặt nạ cho dữ liệu / Data masking 

  9. Phòng chống thất thoát dữ liệu / Data leakage prevention 

  10. Theo dõi hoạt động / Monitoring activities 

  11. Lọc các web / Web filtering 

  12. An ninh viết code / Secure coding 

Các công ty, tổ chức đã được chứng nhận ISO 27001:2013 sẽ phải làm gì: 

Các thay đổi trong tiêu chuẩn chủ yếu là về việc tổ chức lại các kiểm soát, do đó không cần thay đổi công nghệ mà chỉ thay đổi trong tài liệu. Vì các thay đổi chỉ ở mức vừa phải, đề xuất của chúng tôi là bạn không thêm tài liệu mới hoặc xóa bất kỳ tài liệu hiện có nào. Theo ý kiến ​​của chúng tôi, cách tốt nhất để tuân thủ những thay đổi này là: 

  • Cập nhật quy trình xử lý rủi ro của bạn với các biện pháp kiểm soát mới 

  • Cập nhật Tuyên bố về khả năng áp dụng SOA của bạn 

  • Cần điều chỉnh các phần nhất định trong các chính sách và thủ tục hiện có của bạn. 

Các tổ chức chứng nhận sẽ phải làm gì: 

BVC chúng tôi sẽ tổ chức các hội thảo, hướng dẫn cơ bản về những gì cần phải làm, cũng như cung cấp các tổ chức các khóa đào tạo nhằm để chuyển đổi thành công trong khoảng thời gian cho phép của các tổ chức Công nhận. 

Vui lòng liên hệ với chúng tôi để tìm hiểu thêm về dịch vụ 

LIÊN HỆ NGAY